본문 바로가기
반응형

자격증24

[OWASP 2017] A2 취약한 인증 1. 개요 자격 증명 자료, 기본 관리 계정 목록, 무자별 대입 및 사전 공격 툴, 고급 GPU 크래킹 툴로 암호 조합에 접근할 수 있다. 만료되지 않은 세션 토큰도 문제! ​ 2. 영향 시스템 손상, 사기, 기밀 정보 유출 ​ 3. 취약점 확인 기본 암호, 약한 암호 가 허용되는지 확인 효과가 없는 자격증명 복구나 비밀번호 복구 허용 평문, 암호화되거나 취약한 해쉬 비밀번호 사용 다중 인증이 없거나 비효율적 세션 ID가 URL에 노출 로그아웃, 비활성 기간 중 사용자 세션 및 인증 토큰이 무효화 되지 않음 ​ 4. 시나리오 1) 알려진 암호 목록을 사용한 계정 정보 삽입이 일반적 2) 유일한 인증 요소가 암호인 경우 발생 3) 세션에 대한 적절한 만료 시간이 정해지지 않은 것.​ ​ 5. 보안 대책 1.. 2023. 1. 25.
[OWASP 2017] A1 인젝션 1. 개요 매우 일반적이며, 과거의 코드에서 나타난다. SQL, LDAP, XPath, NoSQL 쿼리, 운영체제 명령어, XML 파서, SMTP 헤더, 표현식 언어, ORM 쿼리등. ​ 2. 영향 데이터 손실, 파괴, 정보 누출, 정보 공개, 서비스 거부의 등의 결과 ​ 3. 취약점 확인 소스코드를 리뷰하고, 모든 파라미터, 헤더, URL, 쿠키, JSON, SOAP, XML 데이터 입력에 대한 자동화 테스트 ​ 4. 시나리오 String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") + "'"; Query HQLQuery = session.createQuery("FROM accounts WHERE custID=.. 2023. 1. 25.
[정보보안기사] #10. 보안솔루션의 정의와 보안용어 정리 ■ 정보보안기사에 나올만한 보안솔루션과 보안용어 정리 1. 보안시스템 ▶ FireWall(침입차단시스템) ⦁ 4계층에서 동작하는 패킷 필터링 장비 - 3, 4계층 정보를 기반으로 정책을 세울 수 있고 해당 정책과 매치되는 패킷이 방화벽을 통과하면 그 패킷을 허용(Allow, Permit)하거나 거부(Deny)할 수 있음 ⦁ IP(L3)/ PORT(L4)단의 룰셋으로 설정하며, 리눅스의 iptables과 윈도우의 ipsec기능과 동일 ⦁ 하나의 장비로 존재하여 운용 공격자 IP나 불필요한 포트를 차단 ⦁ 방화벽의 기능 - 접근제어: 정책에 의하여 허용/차단 결정하기 위한 검사 - 로깅(Logging) 및 감사(Auditing) 추적: 허가되지 않은 정보에 대한 로그파일 기록, 의심스러운 사항이나 명백한 침.. 2022. 11. 17.
[정보보안기사] #9. 정보보안기사 실기 기출 요약 (2) 1. 스타형 네트워크 토폴로지 - 중앙의 허브를 통해 연결 - 각 장비는 단 하나의 링크와 I/O 포트를 갖는다 - 네트워크상의 노드에 문제가 생겨도 전체 네트워크에 영향이 생기지 않는다. ​ 2. /etc/shadow ①root:②$1$9L2L0oTwd:③12751:④0:⑤99999:⑥7 :⑦ :⑧ :⑨ ①사용자명:②패스워드:③패스워드 파일 최종 수정일:④패스워드 변경 최소일:⑤패스워드 변경 최대일:⑥패스워드 만료 경고기간:⑦패스워드 파기 후 게정 비활성 기간:⑧계정 만료 기간:⑨예약 필드 ​ 3. /etc/passwd ①root:②x:③0:④0:⑤root:⑥/root:⑦/bin/bash ①사용자명:②패스워드:③UID:④GID:⑤사용자계정이름:⑥사용자계정홈디렉토리:⑦사용자계정로그인쉘 ​ 4. DNS 증.. 2022. 11. 16.
[정보보안기사] #8. 정보보안기사 실기 기출 요약 (1) 1. 비트로커(BitLocker) ​마이크로소프트 윈도우 비스타부터 포함된 디스크 암호화 기능이다. 볼륨 전체에 암호화를 제공해 자료를 보호하도록 설계되어있다. 128비트 키의 CBC 모드에서 AES 암호화 알고리즘을 사용한다. 2. 개인정보 수집에 관한 사항 1) 주민등록번호는 수집할 수 없다. 2) 이벤트 업체에 정보를 제공하는 것은 제 3자 제공에 관한 동의를 별도로 받아야 한다. 3) 동의를 거부할 수 있다는 내용을 안내하면서 동의 거부에 대한 불이익도 같이 안내되어야 한다. 4) 법령에서 구체적으로 고유 식별정보의 처리를 요구하거나 허용하는 경우 ​ 3. 정보공유분석센터(ISAC) 역할 1) 취약점 및 침해사고 대응에 대한 정보 제공 2) 침해사고가 발생하는 경우 실시간 경보, 분석업무 수행 ​.. 2022. 11. 16.
[정보보안기사] #7. 보안 취약점 공격 및 대응 방안 ■ 보안 취약점 공격과 대응 방안 ► 이번 포스트는 정보보호 취약점 공격과 대응 방안에 대한 내용입니다. ► 정보보안기사 공부하면서 이것 저곳에서 취합한 자료로 저작권의 문제가 된다면 댓글 남겨 주시기 바랍니다. ► 주요 출처 및 참조는 KISA와 기출사이트( https://q.fran.kr )입니다. 1. 악성코드 ▣ 바이러스 ► 개요 • 자기 자신 또는 자신의 변형을 복사하여 컴퓨터 작동에 피해를 주는 명령어의 집합. 기생형. (독립실행:X/복제:O) 대응 방안 • 백신을 설치하여 1일 1회 이상 업데이트 한다 ▣ 웜 ► 개요 • 자기 자신을 복제하여 네트워크를 통해 스스로 확산. OS 취약점을 이용하거나 DoS 공격. (독립실행:O/복제:O) ► 대응 방안 • 백신을 설치하여 1일 1회 이상 업데이.. 2022. 11. 15.
728x90

티스토리툴바